L79 ICS 35.100.05
YD 中华人民共和国通信行业标准 YD/T3459-2019
互联网码号资源公钥基础设施(RPKI)安全 运行技术要求密钥更替 Technical requirements of secure operations of resource public key infrastructure (RPKI) -Key rollover
2019-08-27发布2019-10-01实施
中华人民共和国工业和信息化部发布
YD/T3459-2019
目次
前言..I 1范. 2规范性引用文件. 3术语、定义和缩略语 3.1术语与定义 3.2缩略语...3 4密钥更替类型.3 4.1密钥更替场景. 4.2突发性密钥更替3 4.3周期性密钥更替.3 5CA状态定义, 5.1总览..4 5.2现任CA..4 5.3最新CA.4 5.4废止CA...4 6CA端操作技术要求5 6.1概览.5 6.2CA实体为最新CA实例生成新密钥对.5 6.3CA实体为最新CA实例生成证书签发请求,5 6.4CA实体使用最新CA实例的资源证书签发CRL和manifest...5
6.6CA实体发布由最新CA实例的资源证书重新签名的数据对象6 6.7CA实体为废止CA实例的资源证书生成证书撤销请求,7 7RP端操作技术要求. 参考文献8
YD/T3459-2019
前言
本标准是“互联网码号资源公钥基础设施(RPKI)安全运行技术要求”系列标准之一。
该系列标 准的结构和名称预计如下: "《互联网码号资源公钥基础设施(RPKI)安全运行技术要求数据安全威胁模型》; “一《互联网码号资源公钥基础设施(RPKI)安全运行技术要求密钥更替》; -《互联网码号资源公钥基础设施(RPKI)安全运行技术要求资源包含关系验证》; -《互联网码号资源公钥基础设施(RPKI)安全运行技术要求证书策略与认证业务框架》; 一《互联网码号资源公钥基础设施(RPKI)安全运行技术要求互联网码号资源本地化管理》。
本标准按照GB/T1.1一2009给出的规则起草。
请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。
本标准由中国通信标准化协会提出并出口。
本标准起草单位:互联网域名系统北京市工程研究中心有限公司、中国科学院信息工程研究所、北 龙中网(北京)科技有限责任公司、中兴通讯股份有限公司。
本标准主要起草人:马迪、王利明、王伟、邹慧、邵晴、林兆骥。
Ⅱ
YD/T3459-2019
互联网码号资源公钥基础设施(RPKI)安全 运行技术要求密钥更替
1范围
本标准规范了在密钥泄露或者密钥过期的场景下,RPKI认证权威(CertificateAuthority,CA)和 依赖方(RelyingParty,RP)的技术要求。
本标准适用于部署了RPKI的IP地址资源管理系统和RPKI依赖方。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文 件。
凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件。
IETFRFC6481RPKI资料库结构规范; IETFRFC6487RPKI资源证书格式规范。
3术语、定义和缩略语
3.1术语与定义 下列术语和定义适用于本文件。
3.1.1 等待时长 staging period 密钥更替过程中由CA规定的一个时间范围,最小值为24小时。
该时间范围以最新CA实例对应 的资源证书发布为起点,以等待RP同步最新CA实例对应的资源证书到本地缓存中。
3.1.2 CA实体certificate authority entity 签发资源证书、签名对象和CRL的实体。
一般情况下,INR持有者为CA实体,拥有CA管理权 且自行签发RPKI数据对象;INR持有者也可外包CA管理权,这种情况下,CA实体指代INR持有者 的直接上游CA或者第三方CA运行管理机构。
YD/T3459-2019 3.1.3 CA实例certificateauthority instance INR持有者的CA实体与其持有的一个资源证书共同构成一个CA实例,-个CA实例关联一个密 钥对,应符合IETFRFC6487《RPKI资源证书格式规范》。
在密钥更替操作过程中,一个CA实体可具 有一个或者两个CA实例,且CA实例将处于不同的状态。
3.1.4 资源证书resourcecertificate 一种依托互联网码号资源扩展项实现INR分配授权的X.509证书,将INR与其持有者可验证地关
INR持有者也可为一个或者多个下游INR持有者签发一个或者多个RC。
3.1.5 EE证书e...
